-------------------------------------------------------------------
 Hispasec - una-al-día                                  05/11/2009
 Todos los días una noticia de seguridad          www.hispasec.com
 -------------------------------------------------------------------

 Controversia con el potencial fallo de seguridad en SSL y TLS
 -------------------------------------------------------------

Marsh Ray y Steve Dispensa dicen haber descubierto una vulnerabilidad
en el protocolo SSL y TLS que podría permitir inyectar texto en una
conversación cifrada si el atacante tiene acceso al tráfico. El fallo se
encontraría en el protocolo en sí, y por tanto afectaría a prácticamente
todas las implementaciones de todos los sistemas. Sin embargo otras
voces indican que quizás el fallo no sea tan grave.

Es importante aclarar que el fallo no permite descifrar las
comunicaciones. Al parecer es posible inyectar tráfico en texto plano
como prefijo en una sesión TLS si el atacante es capaz de interceptar
el tráfico. Dado que el cifrado TLS y SSL es usado por gran variedad de
aplicaciones para cifrar todo tipo de tráfico (HTTP, FTP, POP3...), el
impacto depende mucho del escenario donde nos movamos. Se han demostrado
ataques prácticos contra autenticación basada en certificados usando
servidores Apache y Microsoft IIS. Se podría reproducir la
vulnerabilidad sin autenticación por certificado de cliente
pero de esta forma resulta incluso más complejo.

Los dos investigadores piden una movilización de la industria para
solucionar el fallo y para ello han trabajado con la ICASI (Industry
Consortium for Advancement of Security on the Internet) desde agosto.
Pensaban mantenerlo en secreto, hasta que un miembro de la Internet
Engineering Task Force (IETF) ha descubierto esta semana
independientemente el mismo fallo y lo ha hecho público.

Moxie Marlinspike, por otro lado, le resta importancia al error.
Argumenta que inyectar tráfico realmente no revela nada al atacante.
Marlinspike es el autor de la herramienta SSLStrip, que presentó en
febrero de 2009 en la Black Hat. También afirma que para HTTP, el
problema es menor aún. "No afecta al correo web, banca online o compras.
Para otros protocolos, puede ser algo más que académico, pero todavía
no hay propuestas de cómo podría ser".

El criptógrafo Karsten Nohl, sin embargo, dice que el problema es
comparable en gravedad al fallo en DNS encontrado por Kaminsky. Cabría
la posibilidad de inyectar comandos como texto plano y realmente acceder
a información sensible durante la comunicación.

Marsh Ray y Steve Dispensa defienden que deben parchearse todos los
productos que usen TLS y SSL, tanto clientes como servidores. Afirman
que además debería incluirse la función de cortar una comunicación si
en una de las partes no está solucionado el problema.

En cualquier caso, se le ha asignado el código CVE-2009-3555 a la
vulnerabilidad. Grandes compañías como Sun ya han anunciado que están
investigando el impacto que este descubrimiento podría tener en sus
productos. OpenSSL ha sacado un parche previo para deshabilitar la
renegociación que origina el problema.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4030/comentar


Más información:

Renegotiating TLS
http://extendedsubset.com/Renegotiating_TLS.pdf

Expert calls SSL protocol vulnerability a non issue
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1373678,00.html?track=sy160

(CVE-2009-3555) CVE-2009-3555 TLS: MITM attacks via session renegotiation
https://bugzilla.redhat.com/show_bug.cgi?id=533125

El SSL no está roto... ¿o sí? (I)
http://www.hispasec.com/unaaldia/3775